Adware в браузерах

Printable View

11.01.2015, 21:15
Future

Adware в браузерах

Здравствуйте, установил недавно из непроверенного источника софт, после чего заполучил непонятные расширения для всех браузеров и непонятную программу в program files. Софт удалил средствами Windows, посшибал расширения, пофиксил пару раз все найденные уязвимости при помощи adwcleaner, также пофиксил явно злонамеренные ключи с рекламными ссылками в hijackthis. Пару дней всё работало хорошо, а сегодня полезла реклама отовсюду поверх сайтов + всплывающие окна с рекламой, спасаюсь пока только полным блоком всего в NoScript.
11.01.2015, 21:17
Info_bot

Уважаемый(ая) [B]Future[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.01.2015, 21:46
regist

1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

2) [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

3) Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
11.01.2015, 22:43
Future

1) Заслал карантин,
ссылка на рез-ты анализа - [url]http://virusinfo.info/virusdetector/report.php?md5=C9A1FA3EB5AC4B0FA9F800C0FBFCE552[/url]
MD5 карантина: C9A1FA3EB5AC4B0FA9F800C0FBFCE552
Тема для обсуждения результатов анализа: [url]http://virusinfo.info/showthread.php?t=174457[/url]

Пункты 2) и 3) подгружу после перзагрузки

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

2) Во вложении 3) Во вложении, первый раз выпало с ошибкой, после перезагрузки вроде ОК всё прошло. Скрин ошибки тоже вложил.
11.01.2015, 22:53
regist

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B])[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Service Found : KMService

***** [ Files / Folders ] *****

File Found : C:\WINDOWS\system32\srvany.exe
Folder Found : C:\Documents and Settings\All Users\Application Data\AlawarWrapper
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] ([B]"Очистить"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
11.01.2015, 23:07
Future

Похоже, что AdwCleaner[R0].txt оказался старым - у него дата создания в свойствах 19.09.2014 Сейчас adwcleaner вообще ничего во время скана не нашёл. Прикладываю последний и предпоследний логи.
11.01.2015, 23:36
regist

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.
11.01.2015, 23:43
Future

На мобильной опере открыл 5-6 вкладок и проблемы не появились, на фаерфоксе как только включаю скрипты обратно - вылазит реклама ads by info и всплывающие окна [COLOR="#FF0000"]удалено[/COLOR]
11.01.2015, 23:52
Future

только что нашёл новое неизвестное расширение для firefox - 9a7a67d3304847fbacded0f7ae51f86a 1002.56.313 пока не стал трогать
12.01.2015, 11:03
regist

Удалите его и проверьте, что с проблемой.
Если не поможет, то отключите все расширения и ещё раз проверьте проблему.
12.01.2015, 15:04
Future

Удалил его, заодно удалил новое неизвестное расширение для chrome - пока никаких проблем нет.
12.01.2015, 19:54
regist

[quote="Future;1211395"]заодно удалил новое неизвестное расширение для chrome[/quote]
название не запомнили? Случайно не это
[CODE]CHR Extension: (cifilbmpnkjinlkchohdfcpdkmpngiik) - C:\Documents and Settings\solovyov.av\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cifilbmpnkjinlkchohdfcpdkmpngiik [2015-01-11][/CODE]?

+ Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
12.01.2015, 20:41
Future

1) да, название хромовского расширения очень похоже - длинная белиберда
2) выполнил скрипт, нашлась одна уязвимость - Накопительное обновление безопасности для браузера Internet Explorer, правда я им не пользуюсь совсем.

я ведь эти все расширения один раз уже удалял, и пару раз adwcleaner после этого чистил, а они опять откуда-то взялись, т.е. не всё где-то на компе почистилось?

пс. пока лазил на компе нашёл пару странных папок в program files : 2d8b6a4f-a48c-4945-a525-481ecd39624e и a7c5982c-1cfa-4403-9043-3d4f7c4ee681, с одноимёнными dll-файлами внутри.
12.01.2015, 20:45
regist

[quote="Future;1211554"]пс. пока лазил на компе нашёл пару странных папок в program files : 2d8b6a4f-a48c-4945-a525-481ecd39624e и a7c5982c-1cfa-4403-9043-3d4f7c4ee681, с одноимёнными dll-файлами внутри.[/quote]
можете проверить их здесь [url]https://www.virustotal.com/[/url]
а так похоже на остатки от pirrit, попробуйте пока удалить в корзину эти папки.
12.01.2015, 20:53
Future

Половина антивирусов на virustotal, считают эти дллки какой-то дрянью. удалил их.
12.01.2015, 22:11
regist

папки в которых они были также можете удалить.